一、研究背景
1.伪造检测器大多基于真伪图片的像素分布进行判断。
2.伪造检测器容易受到对抗性攻击的影响,伪造样本通过像素级扰动可以绕过伪造检测。
3.仅在像素级别上缓解对抗性攻击不够有效。
二、研究动机
1.属性攻击对像素分布的影响有限,因此可以绕过现有基于像素的检测器,比像素攻击更有影响力。
2.属性攻击不需要访问检测器模型,可以绕过黑盒检测。
3.若伪造图像被转换到低密度空间,在属性操纵结束后会产生不正常图像。
4.高度不规则的属性空间分布使得约束语义扰动十分困难,较小的阈值使扰动容易被检测出来,较大的扰动容易产生异常面容。
5.语义鉴别器可以近似建模属性空间的分布。
三、研究目标
1.将潜在特征空间中的低密度部分优化为高密度部分。
2.对扰动进行约束。
四、技术路线
将伪造图像转换到GAN潜在空间中,搜索最优的语义属性进行扰动。
1.Dynamic Image Encoding Module:将潜在空间中编码转换到遵循多元高斯分布的辅助空间,利用高斯先验将编码微调至高密度部分。
-
Encoder(e4e):兼顾重建准确率和操纵自然性